Zapraszamy do strefy RODO - prezentujemy najważniejsze zmiany i nowości Więcej

Wyzwania dla branży medycznej
w związku z RODO

blog-123

W minionym roku Unia Europejska przyjęła nowe regulacje, które zrewolucjonizują ochronę danych osobowych. Zmiany, jakie wprowadza unijne rozporządzenie o ochronie danych osobowych (RODO) dotyczyć będą zarówno podmiotów publicznych jak i prywatnych. 25 maja 2018 roku przedsiębiorcy muszą już spełniać nowe wymagania prawne, dlatego warto jak najlepiej wykorzystać czas, jaki pozostał na dostosowanie się do nich, zwłaszcza że za ich nieprzestrzeganie przewidziane są wysokie kary administracyjne. Branża medyczna, która przetwarza na dużą skalę przede wszystkim dane szczególnej kategorii – dane wrażliwe powinna skupić się w pierwszej kolejności na spełnieniu kilku obowiązków.

Wyznaczenie inspektora ochrony danych

Inspektor ochrony danych na gruncie rozporządzenie będzie pełnił jeszcze ważniejszą rolę w systemie ochrony danych niż do tej pory jego odpowiednik – administrator bezpieczeństwa informacji (ABI). Co istotne, rozporządzenie przewiduje m.in obligatoryjne wyznaczenie inspektora ochrony danych w sytuacji, gdy główna działalność administratora lub procesora polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii czyli np. o stanie zdrowia. W związku z tym dla przedsiębiorców z branży medycznej będzie obligatoryjne wyznaczenie Inspektora ochrony danych. Należy zaznaczyć, iż przetwarzanie danych osobowych nie powinno być uznane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów i jest dokonywane tylko przez jednego lekarza – w takiej sytuacji nie będzie miał on obowiązku powołania Inspektora.

Przedsiębiorcy będą mogli powołać Inspektora z personelu organizacji lub zlecić wykonywanie tej funkcji na podstawie umowy o świadczenie usług (outsourcing). Inspektor ochrony danych nie tylko będzie musiał cechować się odpowiednią wiedzą, ale również wiedzą praktyczną. Jak pokazuje praktyka wiedza teoretyczna jest niewystarczająca. Dlatego też przedsiębiorcy z branży medycznej powinni rozpocząć poszukiwania osoby, która byłaby wstanie pełnić taką funkcję. Warto by przedsiębiorcy rozważyli możliwość skorzystania z pomocy wyspecjalizowanego podmiotu świadczącego tego typu usługi, ponieważ jest to gwarancja profesjonalnego wsparcia z zakresu ochrony danych osobowych i wdrożenia sprawnego systemu ochrony danych. Oczywiście system ochrony danych bazujący na „wewnętrznym” Inspektorze ma swoje plusy, ale w przypadku zatrudnienia nowej osoby do pełnienia takiej funkcji w organizacji ciężko zweryfikować jej kompetencje, a w późniejszym okresie rzetelność wykonywanej przez nią pracy.

Inspektor ochrony danych, podlegać będzie bezpośrednio najwyższemu kierownictwu administratora oraz za prawidłowe wypełnianie swoich zadań nie będzie mógł być przez administratora karany ani odwołany. Co ważne, administrator zobowiązany będzie do terminowego i właściwego angażowania inspektora we wszystkie sprawy dotyczące ochrony danych osobowych – powinien korzystać z jego wiedzy i umiejętności.

Oszacowanie ryzyka dla podstawowych praw i wolności oraz wprowadzenie stosownych mechanizmów ochrony danych osobowych

Rozporządzenie nie wskazuje, jakie środki techniczne oraz organizacyjne gwarantują bezpieczeństwo przetwarzania danych osobowych. To administrator danych będzie musiał sam dobrać takie, które zapewnią odpowiedni stopień bezpieczeństwa przetwarzanych danych. Istotne przy tym będzie oszacowanie przez niego ryzyka, które pozwoli wybrać właściwe środki techniczne i organizacyjne mające na celu minimalizację tego ryzyka.

Obowiązek oceny skutków planowanych operacji przetwarzania dla ochrony danych

Podmioty z branży medycznej są zobowiązane do 25 maja 2018 roku, w związku z przetwarzaniem na dużą skalę danych szczególnych kategorii, do dokonania oceny skutków planowanych operacji dla ochrony danych. Taka ocena będzie musiała zawierać: opis planowanych operacji i celów przetwarzania, określenie czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów, ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, planowane środki w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia z uwzględnieniem prawnie uzasadnionych interesów osób, których dotyczą dane.

Obowiązek uprzednich konsultacji z organem nadzorczym

Gdy dany rodzaj przetwarzania będzie powodował wysokie ryzyko dla praw i wolności osób, których dane dotyczą, co potwierdzi ocena skutków dla ochrony danych, administrator danych zobowiązany będzie do przeprowadzenia uprzednich konsultacji z organem nadzorczym przed podjęciem działań. Ewentualny wniosek w ich sprawie w trybie art. 36 rozporządzenia (wraz z oceną skutków planowanych operacji przetwarzania dla ochrony danych osobowych) powinien zostać wysłany do organu nadzorczego dnia 25 maja 2018 roku.

Utworzenie rejestru czynności przetwarzania

Rejestr musi zostać utworzony do 25 maja 2018 roku. Dla podmiotów z branży medycznej prowadzenie rejestru będzie obligatoryjne. Administrator będzie musiał zamieścić w nim takie informacje jak: imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także, gdy ma to zastosowanie, przedstawiciela administratora oraz inspektora ochrony danych; cele przetwarzania; opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, w razie braku decyzji stwierdzającej odpowiedni stopień ochrony lub braku odpowiednich zabezpieczeń w tym wiążących reguł korporacyjnych – dokumentacja odpowiednich zabezpieczeń, o których mowa w art. 49 ust. 1 Rozporządzenia; jeżeli jest to możliwe: planowane terminy usunięcia poszczególnych kategorii danych, a także ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Wprowadzenie procedur zgłaszania naruszeń ochrony danych osobowych do GIODO

W przypadku naruszenia ochrony danych osobowych, czyli zajścia incydentu, administrator bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, będzie zobowiązany zgłosić to organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Naruszeniem praw lub wolności osoby fizycznej jest m.in. powstanie uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne.

Z uwagi na to, że administratorzy danych będą zobligowani do zgłaszania naruszeń ochrony danych osobowych w tak krótkim czasie organizacje muszą przyjąć wewnętrzne polityki w zakresie zarządzania incydentami, w szczególności ich zgłaszania przez personel najwyższemu kierownictwu oraz dalszego postępowania w celu ograniczenia skutków incydentów, a ponadto kwestii zawiadamiania osoby, której dane dotyczą o naruszeniu ochrony danych osobowych.
Zgłoszenie naruszenia ochrony danych do organu nadzorczego będzie musiało co najmniej: opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego od którego można uzyskać więcej informacji; opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Rozporządzenie za niedostosowanie się do nowych przepisów i nie spełnienie powyższych obowiązków przewiduje karę w wysokości do 10.000.000 Euro, a w przypadku przedsiębiorców – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie będzie miała wyższa kara.

 

Sprawdź również:

HIT RODO NAWIGATOR zamów za darmo

Kompleksowe wsparcie we wdrożeniu RODO

Strefa RODO najważniejsze zmiany i nowości

Skuteczne wdrożenie RODO z kim je zrealizować?

 


Adw. Marcin Zadrożny
03 października 2017
Biuletyn
informacyjny
Biuletyn ODO 24

Raz w miesiącu wysyłamy subiektywny przegląd najważniejszych informacji i wydarzeń oraz naszych promocji i nowości. Wystarczy poniżej podać swój adres e-mail.

Zobacz poprzednie wydanie.